知名开源网盘项目 Alist 被黑产收购?涉及泄露用户隐私?众多开发者成为黑奴?程序员集体炮轰项目评论区?
听起来还挺炸裂的,作为一名程序员,带大家扒一扒这个事件的来龙去脉。
什么是 Alist?
Alist 是一个万能的网盘文件管理器,可以让你在同一个网页上集中管理并浏览分散在各个网盘上的文件。
项目不仅支持 40 多种不同的网盘存储,还能在线浏览各种不同类型的文件,支持离线打包下载等操作,功能强大,也因此成为了坐拥近 5w star 的现象级知名开源项目,很多朋友会用它来搭建自己的私人云存储中心。
收购风波
然而最近,Alist 的作者突然宣布项目已交由公司运营:
说的还挺隐晦,就是被收购了呗。
公司收购开源项目的例子也不少,但为什么这一次引起了轩然大波呢?
首先是作者的态度,对于一个几万星的开源项目的出售,作者竟然 完全没有事前通知 ,还是被网友发现了不对劲并且在项目评论区挂了出来,作者才进行回复。这让很多朋友寒心:开源的尽头是收购变现?
而且,这次收购 Alist 的公司是 "不够科技"。对的,你没看错,公司名叫 "不够科技"。这里忍不住吐槽一下这家公司的英文名 bugotech,bug 科技?哪个正经的科技公司能用这名字?
传言这家公司之前就收购过其他开源项目,比如 Java 神器 Hutool 工具库,而且收购后这些项目都出现了 "一点点" 小问题,收集用户隐私、供应链投毒什么的,因此有网友甚至怀疑这是一家黑产公司。
结合 Alist 被收购后的几个炸裂变动,我想说:怀疑的太对了!
首先是使用新的开发者账号提交了一小段儿 获取用户设备信息 的代码。
代码的主体是执行终端命令来获取系统架构、CPU、内存等设备信息。你别说,这段代码还挺优雅,鉴定为 AI 生成。
这个提交的评论区下,已经是骂声一片了,新开发者迫于压力关闭了这次代码合并。
其实,客观来说,像评论区某位老哥说的一样,如果你是本地获取一些设备信息,用于处理兼容性和性能优化,倒也没什么问题。(狗头保命)
但是上报收集数据这一点,就有点那啥了。。。没啥好说的,就 "我爱你" 吧:
公司还修改了开源项目文档的内容,移除了原作者信息;并且迁移了官方文档的地址,在文档中删除了开源相关描述,重点突出了付费服务,加入了团队联系方式。
值得一提的是,开源文档改动这件事情在 去年 12 月 就已经发生了,也就是说,作者 可能早就把项目卖了 。
还有像 Docker 官方镜像迁移等其他改动,我就不展开说了。
开源之怒
因为上面这些情况,参与这个项目的程序员、支持项目的用户还有广大具有开源精神和吃瓜的网友,都不能忍了!
我自己也是一名开源项目作者,很能理解这种愤怒。你想,本来我出于开源的支持和热爱对吧,给项目贡献代码;结果作者给卖了,不给你分钱,甚至都不告诉你一声。有种跟朋友合伙开公司,结果公司被卖掉的感觉。而且,还是把你和项目一起打包卖给了一家可能是黑产的公司,你要是不知情,说不定还接着屁颠儿屁颠儿给人家贡献代码呢,这不纯黑奴 ?!
有网友整活,给这个项目的开源贡献者做了个黑奴榜:
对了,如果有公司拿开源项目犯罪,开源贡献者算不算是帮凶?我脏了。。。
后来原作者也发布了道歉声明,但是真伪难证:
而且大家并不买账,该项目 GitHub 的 Issues 区和评论区可以说是炮火连天,虽然公司在持续不断地删除这些评论,但我们不惹事也不怕事!
甚至有正义之士主动提交代码合并请求,想把文档里的作者改回来。。。结局当然是合并不通过。看到这里,我彻底泪目,求求你收手吧!
用户警告
如果你正在使用 Alist,建议选择出售前的最后一个稳定开源安全版本 v3.40.0:
如果你之前给 Alist 授权了一些网盘的 API 访问,建议尽快解除授权,防止隐私的泄露。
此外,很快就有开发者站出来,推出了 Alist 的开源替代版本 OpenList,短短几天收获了几千 star。但毕竟也是基于原有 Alist 项目复刻出来的,所以目前 OpenList 并没有什么特别的优势,期待后续发展吧~
我的看法
最后说说我对这件事的看法吧。同样作为开源项目的程序员,我其实很能理解开源作者的辛苦。很多开源作者都是用爱发电,上班之余还要维护开源代码、还要处理用户反馈修 Bug,有时候还会发现自己的免费项目被人付费卖掉。。。说不累是假的,说不想变现也是假的。
这次大家反应这么激烈,不是因为不接受商业化,而是作者和收购公司的行为严重违背了开源社区的核心价值观:信任和透明 。
因为信任,大家才愿意跟你一起无偿做项目;因为透明,用户才更愿意选择开源软件。
如果作者当初能够提前和社区沟通商业化计划,说清楚收购方的背景和意图,给贡献者一个交代,也给用户的数据安全一个保障。我相信大部分人都会理解和支持。毕竟,可持续的商业模式对开源项目的长期发展是有好处的。
但现在呢,伤害的不只是一个项目,而是整个开源生态的信任基础。
因此大家保护的不仅仅是一个项目,更是整个开源生态的健康发展,所以我也愿意花时间去做这样一期内容,让更多朋友了解到事情的真相,能够多支持开源软件吧。不然几年之后,还有多少开源项目,真的是开源项目呢 ?
也希望 Bug 科技耗子尾汁啊,不要把我这期内容投诉举报掉,三连保护保护保护。